Názory k článku Komerční banka: Vykradení účtů potvrzeno!

Vzhledem k v Cesku nebyvale rychlosti odskodneni postizenych klientu bych si tipnul, ze to nebyla chyba ciste na strane klientu, ale ze v tom "jede" i banka.
Osobne u jine banky pouzivam autorizaci pres SMS a neni v tom jediny problem.

Taky mě to tak připadá. V aplikaci moje banka je pro přístup a autorizaci potřeba dvou věcí: osobního certifikátu a hesla. To první bývá uloženo v souboru a je lepší jej mít na výměnném médiu a v PC použít jen na nejnutnější dobu provádění operací na účtu. Praxe je ovšem taková, že dost klientů si jej ponechává na pevném disku a "vyluxovat" jej odtud útočníkovi zvenčí není problém, protože mechanismy ovládnutí PC zvenčí jsou známy. To je ale jen potřebná polovina. Tou druhou je heslo, které má uživatel v hlavě nebo někde na papíře na stole. A nemyslím si, že by byl tal prostoduchý aby jej na požádání někomu sděloval. Vím o podvodných e-mailech vydávajících se za banku, ale sdělovat komukoliv svoje přístupové heslo je hloupost i když se dotyčný vydává za pracovníky banky. Na úspěšné ovládání internetbankingu je potřeba jistá dávka inteligence, předpokládám tedy, že jejich uživatelé svá přístupová hesla na požádání nevyzrazují. A to nemluvím o nekonečné kampani bank, které sami nabádají za žádných okolností hesla nikomu nevyzrazovat.

S tím heslem je to skoro ještě jednodušší než s okopírováním certifikátu. Stačí celkem nenápadný prográmek, který se dostane přes síť do PC a který eviduje a odesílá řadu znaků, které uživatel zadává z klávesnice. Vybrat v takové řadě znaků to správné heslo je potom otázka několika okamžiků.

Komerční banka má svůj systém podmíněn tím, že funguje pouze přes IE, což je, jak notoricky známo jeden z nejděravějších prohlížečů, takže to, co ji potkalo je naprosto logické a byla to jen otázka času. Osobně žádnému internet bankingu nevěřím, není nad to, vyřídit vše potřebné osobně.

No já myslím, že v tom banka ani "jet" nemusí. Pokud by se zachovali tak, že by vinu svalili na klienty, tak by to z hlediska solidní firmy nemuseli vůbec ustát a mohli by přijít o spoustu klientů. Hlavně těch co mají na účtech ty miliony :)

No jděte s tím někam! Si snad pořizuju elektronické bankovnictví, abych se nemusel "s nikým kontaktovat", ne? Chtějí tím říct, že když jsem v jakési vzdálené zemi, sedím někde u Internetu, mobil je vybitý a já chci (musím) převést větší částku, tak k převodu nedojde? Pěkně děkuju.

Zaslání jednorázového kódu SMS je osobní kontakt? Jak často jezdíte do zahraničí provádět finanční transakce přes internet nevybaven nabíječkou k mobilu?

Osobne jsem v zahranici dosti casto, takze se stane, ze potrebuji vyridit nejakou tu platbu. Uz jsem mel i mesice, kdy jsem byl rad, ze jsem se vratil obcas na vikend... Pouziti mobilu k autorizaci transakci se zatim uspesne branim. Radeji platim za pronajem PIN kalkulatoru jenz moje banka nabizi, nez abych se spolehal na nespolehlivou GSM komunikaci - SMS je nezarucena sluzba, ne vsude je signal ci dostupny roaming a take se obcas vybije baterie...

Třeba já žiji v zahraničí dlouhodobě a přitom občas potřebuji operovat se svým českým účtem. Mobil přitom nemám. Jsem snad povinen ho mít? Potažmo jsem povinen si pořídit číslo českého mobilního operátora? (Neboť např. KB nic jiného nepodporuje) A to všechno proto, abych mohl používat službu, které říkají "internetové bankovnictví"? Nějak v tom názvu nevidím slovo "telefonické", vy snad ano? A věřtě, že takových lidí jako já, je dost.

Jestli to dobře chápu, tak se zmiňované "kontaktování operátorem" týká jen nezvyklých operací, které neodpovídají běžným operacím na účtu klienta a má za úkol ověřit pouze, zda se jedná o skutečnou vlastní operaci.

Pokud slo o uzivatele - ignoranty, kteri meli doma na svych PC "superbezpecny" OS Windows, zavirovany a prolezly spywarem, do ktereho se jeste navic hlasili pod administratorskym uctem, vubec se tomu nedivim. V takovem pripade - pokud autorizace neni posilena jeste napr. pomoci SMS ci kalkulatoru - neni vubec problem ziskat jejich userid, heslo, i certifikat pomoci spywaru, ktery si tam ti mamlasove jeste mnohdy nainstaluji sami...
Pachatele mohou sedet treba nekde v Ugande a mit z Policie CR legraci...
Kdo chce kam, pomozme mu tam... Kdo chce delat bankovni operace pomoci operacniho systemu, vhodneho spise pro hrani her, o kterem navic jeste vubec nic nevi (na co se s tim ucit zachazet, ze ano...), at se nedivi.
Jde o vysledek marketingove masaze techto lidi, kteri ziskali nebezpecnou iluzi, ze umeji zachazet s pocitaci....
Banka je v tom vpodstate nevine. Muze ji byt vycitano maximalne to, ze nutila sve uzivatele takovy OS pouzivat a ze jim nedoporucila jeste autorizaci napr. pres SMS. Ale primou vinu nese pouze a jedine uzivatel - ignorant.

pokud je ten linux taková bomba, pak nechápu, proč se už masově mezi uživatele neprosadil .. a to i klidně třeba jako výsledek marketingové masáže třeba od Suse apod. firem .. nehledě na to, že uživatelům tohoto typu, který ty zmiňuješ by nepomoh ani "suberbezpečnej" Linux .. takž se laskavě uklidni a vrať se ke svejm tučňákům ..
a jenom na závěr ti můžu říct, že běžnejm uživatelům bych jako člověk docela hodně zběhlej v počítačích Linux asi nikdy nedoporučil, sám jsem ho několikrát zkoušel, špatný to není, ale vždycky jsem se zas vrátil ke svým oblíbeným W2K, což je špičkovej OS, kterej můžu každýmu vřele doporučit .. u XPcek si tim už tak jistej bohužel nejsem

No Win XP jsou v podstatě odladěné W2K (co do vydání W2K nestihly) plus pár fičur.
Napadá i jestli by se nevyplatil dual boot - banka by mohla dodat příslušný OS - jen:A jsme u toho - sežeňte pro Linux driver na libovolný modem a zjistíte....
Ani u Win XX to není vždycky snadné i když je to OS pro který výrobci dělají drivery přednostně...

Myslim, ze si Citibank ty PR reci o bezpecnosti muze nechat tak leda pro sve marketingove kampane.

Jejich "svetovy standard" je zalozeny na HTTPS protokolu, cislu karty a hesle slozeneho povinne pouze z cisel. To je cele. Ani o chlup vice ani o chlup mene.

O jejich unikatni detekci "nestandardnich" bankovnich operaci si myslim sve. Tri roky provadim z jejich uctu bankovni transakce pouze v ramci CR a pred dvemi mesici jsem udelal velmi neobvyklou transakci s prevodem penez do Izraele a nikdo mi nevolal, jestli je to v poradku... ;-) Takze jim to asi nefunguje.

Vzhledem k tomu, ze mi chodi neustale phishing maily zamerene na Citibank a pri kazdem prihlaseni mi v Citibank vyskakuje okenko s upozornenim na tyto maily, tak si myslim, ze u Citibank je problem s ukradenymi autorizacnimi udaji velmi casty.

A co proti tomu delaji? Nic. Je prece ve smlouve psano, ze pokud nekdo pouzije me tajne autorizacni kody (cislo karty a cislo pouzivane jako heslo), tak je banka z obliga. Tak proc by utraceli penize za SMS, kdyz riskuje pouze klient a oni ne?

Jeste asi pred dvema lety mela Citibank sve bankovnictvi na serverech nekde v Singapuru... Taky ne moc duveryhodne... Docela lituji, ze jsem si tam zridil ucet a z techto duvodu uvazuji o nejake alternative...

"Tri roky provadim z jejich uctu bankovni transakce pouze v ramci CR a pred dvemi mesici jsem udelal velmi neobvyklou transakci s prevodem penez do Izraele a nikdo mi nevolal, jestli je to v poradku... ;-) Takze jim to asi nefunguje."
- to se dá vysvětlit i jinak. Dělal jste ty transakce z počítače, ze kterého je děláte obvykle? Jestli ano, pak banka nemusí mít důvod považovat transakci za nestandardní. Prostě pozná Vaše PC a to jí stačí.

Dost chaba ochrana, kdyz jsem za firewallem spolu s dalsimi minimalne 100 pocitaci v nasem obrovskem dome... Tezko mohou poznat, jestli je to muj pocitac, ci pocitac meho ukrajinskeho, ruskeho, americkeho, polskeho ci cinskeho souseda ;-) .

Banka nemuze(!) poznat, zda se jedna o me PC. Pokud je jejich skvely detekcni system zalozen na takoveto ochrane, pak nemuzeme o zadne ochrane v tomto pripade ani mluvit.

Take neni vubec zadny problem nejakym zpusobem dostat na pocitac trojskeho kone, ktery nainstaluje HTTP PROXY server, takze utocnik v naproste pohode sveho doupete nekde v Tramtarii bude nabouravat vas ucet v bance a vase banka bude v klidu sledovat podivne transakce, protoze je to prece v pohode. IP adresa, ze ktere pristupujete je preci vase, takze to musite byt VY... a koneckoncu, jestlize to nejste vy, je to vase a zase jenom vase chyba. ;-)

http://anti-kb.johanesville.net/ --- Stížnost proti zavedení SMS autorizací IB KB, ke které se můžou přidat všichni, jimž tento způsob připadá obtěžující, omezující a neadekvátní názvu produktu "internetové bankovnictví" a jimž tato změna případně až znemožnila přístup k IB (např. lidem žijícím v zahraničí). Zároveň s tím se ukvapeným zavedením tohoto způsobu autorizace KB dopustila porušení vlastních Všeobecných obchodních podmínek v obrovském měřítku.

Čím víc nás bude, tím spíše bude KB nucena s tím něco udělat a přehodnotit svůj arogantní přístup ke klientům. Kdo bude chtít zůstat u SMS autorizací, tu možnost má, ale KB by neměla omezovat ostatní (třeba už tím, že jako alternativu nabídne čtečku čipových karet, která není zdarma).